Что понимается под безопасностью ИТ?

Несмотря на свое довольно широкое название, проект СТР-45 рассматривает в основном только одну сторону обеспечения без­опасности ИТ — защиту от НСД в АС. Кроме того, изложены требования к физической защите и защите среды ИТ (пожарная, электробезопасность и т.д.). При этом, чтобы хоть как-то соот­ветствовать своему названию, вместо термина АС по тексту ис­пользуется термин «ИТ» — упорядоченная совокупность аппарат­ных, программных, аппаратно-программных средств, систем и ин­формационных процессов. На наш взгляд, определение не очень удачное, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к И Т. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информаци­онных процессов, нарушение безопасности которых вполне мо­жет повлечь существенный ущерб.

Большая часть рассматриваемого регламента посвящена требо­ваниям к безопасности при эксплуатации ИТ. В проекте указаны стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каждой стадии приведен перечень необходимых мероприятий.

Первое, что необходимо выполнить при подготовке к эксплуатации, — это категорирование по безопасности ИТ. СТР-45 вво­дит 6 категорий ИТ, в зависимости от того, какой ущерб возмо­жен при нарушении безопасности (табл. 1.2). К данным, приведенным в таблице, надо применять операцию «или».

Размер ущерба от нарушения безопасности будет определяться после выполнения анализа и оценки рисков, правила выполне­ния которых приведены в Приложении В к проекту СТР-45.

Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выполняется, разработчики написать «забыли». Требования к ИТ предъявляются лишь исходя из категории безопасности ИТ. В соответствии с духом ГОСТ 15408, все требования подразделя­ются на функциональные и требования доверия к безопасности. Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техниче­ским мерам и средствам обеспечения безопасности ИТ.

Таблица 1.2. Категорирование по безопасности ИТ

Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO 17799, BSI, COBIT и др., в том числе корпоративные стандарты. Оргмеры включают не только традиционные мероприятия по за­щите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ве­дения бизнеса), оценку рисков, информирование и обучение пользователей.

Функциональные требования помимо прочего включают срав­нительно новые для наших пользователей детализированные тре­бования к аудиту безопасности ИТ, требования к защите комму­никаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.

Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопро­вождению ИТ, внесению изменений в ее конфигурацию, требова­ния к персон ал у и к документации.

По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в слу­чае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: атте­стация ИТ и государственный контроль (надзор). При этом для ИТ 3 —6-й категорий аттестация осуществляется аккредитован­ными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его про­ведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обна­ружения нарушений СТР-45 может быть остановлен.